智取勒索软件的新剧本

2024 年的网络安全形势对专业人士提出了不断变化的挑战，特别是在勒索软件领域。新出现的威胁不仅需要对防御机制进行战略调整，还需要了解这些网络攻击的法律影响。

勒索软件操作不断转变，开始从传统的基于加密的“拒绝访问”转向不太复杂的数据盗窃和勒索方法，或“拒绝保密”。理由很简单：当您可以简单地窃取数据并要求赎金以避免公开时，为什么要费心密钥管理、编码加密模块以及避免安全专家和公共/私人倡议（例如nomoreransom.org）的解密工作的复杂性呢？“数据泄露和套现”方法消除了传统勒索软件操作的挑战，并消除了从备份中恢复的“出狱免费卡”，使数据盗窃和勒索更加高效，对网络犯罪分子更具吸引力。

事实上，在 2023 年，即使是长期存在的勒索软件威胁参与者 Cl0p也利用MOVEit和GoAnywhere文件传输软件中的零日漏洞来简单地窃取数据，避开了他们之前的数据加密作案方式。BlackCat/ALPHV对西部数据发起了“粉碎抢夺”攻击，要求支付 10TB 被盗数据的赎金，并采取了不寻常的措施，向 SEC 报告了另一名受害者 MeridianLink 未能披露数据被盗情况。在这两种情况下，都没有部署加密。这一趋势可能表明人们对暴露数据和服务访问权限的零日漏洞持续感兴趣，毫无疑问，网络犯罪世界已经吸取了有关大量数据和受害者的有效货币化的重要教训。

具有讽刺意味的是，在这种新形势下，加密成为一种关键防御（当然，与那些成熟的备份和恢复程序结合使用）。通过确保所有敏感数据都得到有效加密，组织可以使任何泄露的数据对攻击者来说毫无用处。这种方法需要对静态、传输中和处理过程中的敏感数据进行全面加密。此外，加密标准的定期更新和审核对于领先于潜在漏洞至关重要。

加密有效，但部署远远落后于目前应有的水平。回顾我二十多年前在 PGP 的经历，很明显加密技术已经取得了长足的进步，但对加密的恐惧仍然存在。这种恐惧源于对复杂性、成本和对系统性能影响的担忧，继续阻碍加密的广泛采用，并代表了当今威胁环境中的一个关键漏洞。

奖励：如果数据被加密，是否属于应报告的违规行为？在大多数情况下，不会。如果数据加密，您的客户、合作伙伴和员工是否面临风险？在大多数情况下，不会。

从法律上讲，如果发生泄露，加密数据将受到不同的对待。例如，根据欧盟的《通用数据保护条例》(GDPR)，只要加密使未经授权的人员无法理解数据，加密数据的泄露并不总是需要通知监管机构或受影响的个人（第 34 条）。同样，在美国，《加州消费者隐私法》 (CCPA) 等多个州的法律都有规定在泄露通知期间以不同方式考虑加密数据。

在接下来的一年左右的时间里，我预计勒索软件威胁行为者和附属机构会变得更加有选择性。这种选择性方法将包括积极寻找已知拥有网络事件保险的受害者，以及对已知已支付赎金的组织进行所谓的“双击”重新定位（AvosLocker、Diamond、Hive的变体已注意到这种行为） 、Karakurt、LockBit、Quantum和Royal）。我预计受害者分析数据市场将会成熟，可能会作为一种服务，类似于邮政、爱情和 419 诈骗中久经考验且值得信赖的“傻瓜名单”。

加密不仅作为一种技术必需品出现，而且作为一种法律保障，突显了其在防御和减轻网络攻击后果方面的重要性。随着勒索软件策略的日益复杂，组织必须优先考虑主动的整体安全态势管理。这将使他们能够解决漏洞发现和缓解、错误配置检测和暴露管理的问题。

认识到数字资产的重要性和暴露程度是安全的基础。重点必须放在理解和枚举您的数字资产，包括托管和非托管/未知的数字资产。这包括数据、应用程序、系统（IT、OT、物联网、物联网）以及衡量您面临的潜在威胁。哪些服务正在运行？资产是否暴露在互联网上？资产可以直接管理吗？该资产目前是否合规？如果资产降级、受损或不可用，会给企业带来什么后果？资产暴露程度越高、重要性越大，风险就越大。这种方法可确保时间紧迫的漏洞风险管理团队能够最有效地确定优先级。

— 欢迎关注 —

原文始发于微信公众号（祺印说信安）：智取勒索软件的新剧本